웹 애플리케이션 보안 결함을 유발하는 잊혀진 인적 요소
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
